Le levier le plus prometteur pour l’industrie de la cybersécurité vient de l’accélération de la transformation numérique de nos sociétés
À la suite de plusieurs attaques majeures qui ont récemment défrayé la chronique, le monde mesure peu à peu l’ampleur de la menace cybercriminelle. Cette prise de conscience s’accompagne d’une explosion de la demande en matière de solutions de sécurité digitale. Celle-ci est également soutenue par l’accélération de la numérisation de nos sociétés qui se traduit par l’arrivée en masse d’objets connectés intelligents. Les enjeux sont énormes. La cybercriminalité menace l’individu dans sa sphère privée la plus intime. Elle anéantit les efforts d’innovation des entreprises et perturbe les processus de production. Elle remet en cause jusqu’à la souveraineté des États. Les ressorts de croissances de l’industrie de la cybersécurité sont donc nombreux et durables.
C’était quelques mois avant que la France ne gagne sa première Coupe du monde de football. Il y avait alors sur la planète quelque 80 millions de personnes reliées à internet, dont la moitié aux États Unis. En France, la statistique ne recensait guère plus d’un million d'internautes, dont 750 000 via leur entreprise. La croissance de ce marché était toutefois suffisamment spectaculaire pour que le quotidien «Les Échos» publie le 9 janvier 1998 un article habillé d’un titre très tendance: «L’expansion d'Internet, ou l'avènement du "village global"».
Ce sympathique concept, évoquant l’universalité et la proximité, et élaboré au milieu des années 1960 par le théoricien canadien Marshall McLuhan, revenait au goût du jour. Selon ses nouveaux adeptes, il ne tarderait pas à se concrétiser. Internet et les nouvelles technologies seraient les vecteurs d’une culture universelle et plébiscitée par tous qui s’épanouirait dans ce cyberespace fraîchement éclos où ne s’élèverait aucune barrière.
Vingt ans après la démocratisation d’internet, une partie de la prédiction s’est vérifiée. La densification des interconnexions et l’expansion fulgurante de la numérisation ont aboli bien des frontières et démultiplié le champ des possibles. Mais le cyberespace, né de la révolution technologique, est moins «cosy» que prévu. Le village global a même pris des allures de coupe-gorge. Sa sécurisation représente un impératif vital pour la bonne marche du monde. La prise de conscience tardive de cet enjeu ouvre de belles perspectives aux entreprises spécialisées dans la cybersécurité.
La destruction de valeur causée par la cybercriminalité représente un bon indicateur du potentiel de croissance de l’industrie de la cybersécurité. Selon un rapport de janvier 2018, élaboré par le think tank Center for Strategic and International Studies (CSIS) et la société de cybersécurité McAfee, la cybercriminalité coûte globalement 600 milliards de dollars par an. Ce chiffre équivaut à 0,8% du produit intérieur brut (PIB) mondial. En 2014, les mêmes auteurs évaluaient le montant des dommages à 445 milliards de dollars, soit 35% de moins. Selon l’étude, le piratage de données liées à la propriété intellectuelle équivaut à lui seul à un quart du coût total de la cybercriminalité en 2017. Les dénis de service, la perturbation des chaînes de production et la remise à niveau post-attaques des infrastructures numériques occasionnent également un manque à gagner très important.
Une autre étude d’Accenture réalisée par le Ponemon Institute, portant plus spécifiquement sur l’impact de la cybercriminalité sur les sociétés, confirme l’ampleur du phénomène. Elle évalue le coût moyen à 11,7 millions de dollars par entreprise en 2017, soit une augmentation de plus de 60% en cinq ans. Selon tous les experts, l’impact de la cybercriminalité devrait s’aggraver ces prochaines années. Les projections varient considérablement, mais nombre d’entre elles projettent des coûts globaux qui se chiffreraient en milliers de milliards de dollars à partir de 2020.
La bonne nouvelle pour l’industrie de la cybersécurité provient du changement d’approche des entreprises vis-à-vis du cyber-risque. À ce titre, 2017 aura fait office de piqûre de rappel avec une déferlante de virus comme WannaCry et NotPetya qui ont infecté des centaines de milliers d’ordinateurs dans quelque 150 pays. Contre toute attente, ces deux rançongiciels ne se sont pas tant distingués par les fonds qu’ils sont parvenus à extorquer que par les pertes massives qu’ils ont fait subir à des entreprises internationales (Renault, Saint-Gobain, FedEx, Maersk, Deutsche Bahn entre autres) en interrompant durablement leurs activités. La facture se chiffre en milliards de dollars.
Le vol massif de données (près de 150 millions de personnes potentiellement touchées) dont a été victime en automne dernier la société américaine d'évaluation de crédit Equifax livre aussi un exemple éloquent des conséquences du cyberpiratage pour les entreprises et leurs dirigeants : chute brutale de la valorisation boursière, dégât d’image dramatique, multitude de plaintes en nom collectif, débarquement du management…
Après cette avalanche de cyberattaques de grande ampleur, les sociétés réagissent. Elles poursuivent l’effort de rattrapage dans la sécurité numérique. Les nouvelles exigences étatiques à l’égard des entreprises en matière de protection des données des particuliers, comme le RGPD (règlement général sur la protection des données) récemment entré en vigueur en Europe, soutiennent aussi l’investissement. Le cabinet américain Gartner évalue que les entreprises consacreront 96,3 milliards de dollars cette année à la cybersécurité, contre 89,1 milliards en 2017. Ce qui représente une augmentation substantielle de 8%.
Mais ce sont les États qui sont les plus grands pourvoyeurs de fonds du secteur. Pour eux, la sécurité numérique représente un enjeu de souveraineté. Les révélations portant sur de multiples tentatives de manipulation électorale et d’attaques répétées contre des infrastructures stratégiques comme les réseaux électriques, le système financier ou le contrôle aérien suscitent de vives inquiétudes. En raison de la sensibilité des enjeux, peu d’États communiquent ouvertement sur les budgets alloués à l’acquisition de capacités de cyberdéfense. Aux États-Unis, l’effort de l’État fédéral oscillerait entre 20 et 30 milliards de dollars par an selon différentes sources. Il aurait ainsi triplé, voire quadruplé en 10 ans.
Ces prochaines années, le flux de nouveaux entrants dans le marché numérique constituera aussi un autre vecteur de croissance pour l’industrie de la cybersécurité. En 2017, la planète comptait 3,8 milliards de personnes, soit 51% de la population, ayant un accès à internet. Elles seront 6 milliards (75% de la population) en 2022 et 7,5 milliards (90% de la population) en 2030, selon les prédictions de Cybersecurity Ventures. Ces nouveaux utilisateurs seront demandeurs de solutions de sécurité et une nouvelle cible de choix pour le cybercrime.
Finalement, le levier le plus prometteur pour l’industrie de la cybersécurité vient de l’accélération de la transformation numérique de nos sociétés. Le déploiement des objets connectés dans notre quotidien (des milliards d’objets en service en 2017, selon Gartner), mais aussi dans l’industrie témoigne de la rapidité du changement. Montres, enceintes vocales, lampes, vêtements, tout aujourd’hui peut être connecté et interconnecté. Le jour où notre réfrigérateur nous suggérera de boire une eau minérale plutôt qu’une bière sur la base des informations désagréables livrées par notre pèse-personne ou notre bracelet électronique n’est pas loin.
L’internet des objets donne toutefois des sueurs froides aux professionnels de la cybersécurité. Chacun de ces produits représente une porte d’entrée sur le réseau potentiellement vulnérable aux attaques. En outre, quelques faits divers récents ont mis en lumière les graves faiblesses des objets destinés au grand public. Les bénéfices présumés d’une rapide mise sur le marché d’un nouvel appareil prévalent souvent sur les considérations sécuritaires. Les conséquences peuvent parfois s’avérer lourdes. Un casino s’est ainsi fait dérober le registre de données de sa clientèle «premium» à partir d’une faille détectée par les attaquants dans un thermomètre connecté de l’aquarium du hall d’entrée de la maison de jeu.
L’implémentation de l’intelligence artificielle (IA) dans les objets connectés présente aussi de nouveaux points de vulnérabilité qui peuvent être exploités par des individus mal intentionnés. Les enjeux sécuritaires pour le développement de l’IA sont donc aussi élevés que les attentes que l’on projette dans ce domaine. Certes, quel soulagement se sera de pouvoir, au petit jour, s’affaler sur la banquette arrière de sa voiture autonome pour se laisser sagement reconduire dans son chez-soi! Mais monterions-nous dans une voiture qui interprète mal un panneau «STOP» sur lequel quelques plaisantins ont collé trois petits morceaux de scotch, comme l’a révélé une expérience réalisée récemment aux États-Unis? On le comprend aisément à travers cet exemple: il reste à construire une relation de totale confiance entre l’homme et la machine intelligente.
N’en déplaise aux esprits chagrins, la hauteur du défi sécuritaire ne fera pas renoncer l’humanité aux sensationnelles promesses de l’IA. Mais le temps presse car celle-ci est déjà à l’œuvre. Grâce à elle, des industriels mesurent aujourd’hui les avantages de la maintenance prédictive dans leurs unités de production. De là à appliquer ce concept à l’être humain, il n’y a qu’un pas qui est en train d’être franchi grâce à l’exploitation des bases de mégadonnées (big data). La santé se profile comme l’un des terreaux les plus fertiles pour l’IA avec des applications destinées à l’aide au diagnostic, à l’établissement de traitement médicamenteux et à l’observance de ceux-ci, ou encore à l’anticipation de pathologies génétiques.
L’IA prendra aussi dans les prochaines années une place de plus en plus prépondérante dans le domaine de la cybersécurité. Face à la multiplication des attaques et la pénurie de main-d’œuvre spécialisée, l’industrie compte beaucoup sur les nouveaux systèmes intelligents. Des modules autoapprenants sont d’ores et déjà capables de faire l’apprentissage des comportements d’une communauté et de détecter des intrusions à partir de signaux très faibles, voire d’anticiper les objectifs des attaquants. On le voit, la cybersécurité, l’intelligence artificielle et le big data sont intimement corrélés. Ils représentent les trois piliers de cette transformation numérique que le monde, partagé entre espoir et appréhension, accueille avec un peu moins de naïveté que la révolution internet d’il y a 20 ans.
Nicolas Gay-Balmaz, rédacteur BCV